ホーム > 情報処理安全確保支援士試験 > 2012年 春期
情報処理安全確保支援士試験 2012年 春期 午前2 問06
JIS Q 27001:2006 における情報システムのリスクとその評価に関する記述のうち,適切なものはどれか。
ア:脅威とは,脆弱性が顕在化する源のことであり, 情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
イ:脆弱性とは, 情報システムに対して悪い影響を与える要因のことであり、 自然災害,システム障害,人為的過失及び不正行為に大別される。
ウ:リスクの特定では,脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。(正解)
エ:リスク評価では, リスク回避とリスク低減の二つに評価を分類し, リスクの大きさを判断して対策を決める。
解説
JIS Q 27001:2006 における情報システムのリスクとその評価【午前2 解説】
要点まとめ
- 結論:リスクの特定は、脅威が脆弱性を突いて情報資産に与える影響を明確にすることです。
- 根拠:JIS Q 27001:2006では、リスクは「脅威が脆弱性に付け込むことによる影響」と定義されており、これを特定することがリスク管理の第一歩です。
- 差がつくポイント:脅威と脆弱性の定義を正確に理解し、リスク評価の段階での分類や対策の決定方法を混同しないことが重要です。
正解の理由
選択肢ウは、リスクの特定に関して「脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する」と述べており、JIS Q 27001:2006のリスク定義に合致しています。リスクは単に脅威や脆弱性の存在だけでなく、それらが結びついて情報資産に及ぼす影響を評価することが本質です。
よくある誤解
脅威と脆弱性の意味を混同しやすく、脅威を「悪い影響を与える要因」と誤解することがあります。また、リスク評価での分類をリスクの特定段階と混同し、評価方法を誤るケースも多いです。
解法ステップ
- JIS Q 27001:2006における「脅威」「脆弱性」「リスク」の定義を確認する。
- 脅威はリスクの源泉、脆弱性は弱点であることを理解する。
- リスクは「脅威が脆弱性を利用して情報資産に与える影響」と定義されることを押さえる。
- 選択肢の文言が定義に合致しているかを比較検討する。
- リスク評価の分類や対策決定の説明が正しいかを確認し、誤りを見抜く。
選択肢別の誤答解説
- ア:脅威は「脆弱性が顕在化する源」ではなく、「リスクを引き起こす可能性のある事象や状況」です。また、脅威のレベルや発生可能性は管理策ではなく、リスク評価で判断します。
- イ:脆弱性は「悪い影響を与える要因」ではなく、「脅威が付け込む弱点」です。自然災害や人為的過失は脅威の例であり、脆弱性とは異なります。
- ウ:正解。リスクの特定は脅威が脆弱性に付け込むことで情報資産に与える影響を明確にすること。
- エ:リスク評価はリスクの大きさを判断し、リスク受容、回避、低減、移転などの対策を検討します。評価を「リスク回避とリスク低減の二つに分類する」とするのは誤りです。
補足コラム
JIS Q 27001:2006は情報セキュリティマネジメントシステム(ISMS)の国際規格ISO/IEC 27001の日本版であり、リスクマネジメントの基本的な枠組みを示しています。リスク特定、リスク分析、リスク評価の順で進め、適切な管理策を選択・実施することが求められます。脅威、脆弱性、リスクの用語の正確な理解は、ISMS構築や運用に不可欠です。
FAQ
Q: 脅威と脆弱性の違いは何ですか?
A: 脅威はリスクを引き起こす可能性のある事象や状況で、脆弱性はその脅威が付け込む情報システムの弱点です。
A: 脅威はリスクを引き起こす可能性のある事象や状況で、脆弱性はその脅威が付け込む情報システムの弱点です。
Q: リスク評価で行うことは何ですか?
A: リスクの大きさを判断し、リスク受容や回避、低減、移転などの対策方針を決定します。
A: リスクの大きさを判断し、リスク受容や回避、低減、移転などの対策方針を決定します。
Q: 自然災害は脅威か脆弱性か?
A: 自然災害は脅威の一種であり、脆弱性ではありません。
A: 自然災害は脅威の一種であり、脆弱性ではありません。
関連キーワード: ISMS, リスクマネジメント, 脅威, 脆弱性, 情報セキュリティ, JIS Q 27001, リスク評価